Go to Qiita Advent Calendar 2024 Top
LoginSignup
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

Microsoft SecurityAdvent Calendar 2024

Day 20
@narisho(成田 翔)

Microsoft Sentinel の監査をしよう!

Last updated at Posted at 2024-12-19

Microsoft Sentinel の監査

Microsoft Sentinel の運用をされている皆さん、Sentinel の利用状況をきちんと監査できる状態になっていますか?

誰がいつどんなクエリを実行したかや、Sentinel の分析ルールやデータ コネクタが正常に動作しているかなどの情報をログとして記録しておくことで、問題に早く気づいたり、後から調査に役立てたりすることができます。

今回のブログでは、Microsoft Sentinel の監査に利用できる 4 つのテーブルを紹介します。

Microsoft Sentinel の監査に利用できるテーブル(ログ)

こちらで紹介する 4 つのテーブルは既定では有効化されていませんので、必要に応じて有効化して業務にご活用ください。

  • LAQueryLogs テーブル
  • SentinelHealth テーブル
  • SentinelAudit テーブル
  • AzureActivity テーブル

LAQueryLogs テーブル

最初に紹介するのは LAQueryLogs テーブルです。LA は Log Analytics の略で、Log Analytics にどのようなクエリが実行されたかを記録するテーブルです。

問題発生時用だけでなく、クエリ実行者の KQL の成熟度を判定したりといったこともできそうだなーと思います。

下記のような情報を取得できます。

  • クエリを実行した時間
  • クエリを実行したユーザーのユーザー ID とメールアドレス
  • クエリを実行したアプリの種類(Azure ポータル、データコネクタ、Power BI など)
  • 実行されたクエリと実行時間
  • 結果として返されたレコード数

image.png

Log Analytics ワークスペースの診断設定(Diagnostic setting)から audit カテゴリを選択することでログを取得できるようになります。

image.png

設定方法やテーブルのフィールドの説明、注意事項などは下記の Learn をご確認ください。

SentinelHealth テーブル

LAQueryLogs テーブルは Sentinel というよりも Log Analytics のログでしたが、SentinelHealth テーブルはその名の通り Sentinel が正常に機能しているかを確認できる専用のテーブルです。

分析ルールって、意外と失敗していることが多いので、失敗したときに気づけるようにしておくのは大事ですね。

下記のような情報を取得できます。

  • ジョブが実行された時間
  • ジョブの種類(分析ルール、データコネクタ、プレイブックなど)
  • ジョブを実行したリソースの種類と名前(分析ルール、データコネクタ、プレイブック)
  • ジョブの実行結果とその理由

image.png

Sentinel の設定から「監査と正常性の監視」を有効にすることでログを取得できます。

image.png

設定方法やテーブルを使った監視方法、注意事項などは下記の Learn をご確認ください。

SentinelAudit テーブル

SentinelHealth テーブルと同じ設定で取得できるようになるテーブルで、分析ルールの作成や更新などの Sentinel の設定変更の情報を取得できます。

下記のような情報を取得できます。

  • 操作が行われた時間
  • 操作の種類
  • 操作を行ったリソース名(分析ルールなど)
  • 操作の結果とその理由

image.png

有効化方法やドキュメントは SentinelHealth テーブルと共通です。

AzureActivity テーブル

分析ルールの編集などの Sentinel で実行される全ての操作ログを取得できるテーブルです。このテーブルは Sentinel 固有ではなく Azure サブスクリプション全体で共通して使用されます。

下記のような情報を取得できます。

  • 操作が行われた時間
  • 操作の種類
  • 操作を行ったリソースとその種類
  • 呼び出し元の IP アドレス

AzureActivity テーブルは任意の Azure リソースの「アクティビティ ログ(Activity Log)」の「診断設定(Export Activity Logs)」から設定できます。Sentinel だけではなく Azure サブスクリプション全体で機能が有効になりますのでご注意ください。

image.png

AzureActivity テーブルを使用した具体的な監査方法については下記の URL を参照してください。

まとめ

Sentinel 運用で検討すべき 4 つのテーブルを紹介しました。

ログの量が増えるとコストに跳ね返りますので、どのようなログが必要かを考えて、必要に応じて有効化することをお勧めします。

問題が起きてからでは遅いので、最初の設計段階で(もしくは未設定に気づいたときに・・)忘れずに必要なログ取得を有効化するようにしましょう!

4
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
4
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?